Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\ProtectFz_Noc.dat] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '<Текущая директория>\Ms.dat'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\3.tmp
- %TEMP%\2.tmp
- <Текущая директория>\Mk.ini
- <DRIVERS>\g6R1NyfAQ.sys
- %TEMP%\1.tmp
- %TEMP%\1fe22.tmp
- %TEMP%\1f8d2.tmp
- <Текущая директория>\Ms.dat
- %TEMP%\20325.tmp
Удаляет следующие файлы:
- %TEMP%\2.tmp
- %TEMP%\3.tmp
- <DRIVERS>\g6R1NyfAQ.sys
- %TEMP%\1.tmp
- %TEMP%\1f8d2.tmp
- %TEMP%\1fe22.tmp
- %TEMP%\20325.tmp
Сетевая активность:
Подключается к:
- 'www.52###wfz.com':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- www.52###wfz.com/tp.htm
UDP:
- DNS ASK www.52###wfz.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
